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Sicherung eines Rechnerkerns gegen aufiere Manipulationen 

5 Die vorliegende Erf indung betrifft die Sicherung eines Rechners gegen aufie- 
re Manipulationen, insbesondere die Sicherung der im Rechnerkern bzw. 
zentralen Verarbeitungseinheit (CPU) vorliegenden Daten. Diese Erfindung 
findet insbesondere Anwendung bei Chipkarten, da diese gegen Manipula- 
tionen von aufien besonders gesichert sein miissen. 

10 

Es ist bekannt, Speicherbereiche eines Rechners zum Beispiel durch Busver- 
schlusselung, Speicherverschlusselung und dergleichen gegen Manipulatio- 
nen zu schiitzen. Aus DE 37 09 524 C2 ist beispielsweise eine Prufroutine zur 
Uberprufung der Speicherzelleninhalte eines Programmspeichers bekannt. 
15 Durch Prufsummenbildunguber die Speicherzellenilihalte-jeweils zu Beginn 
oder wahrend eines laufenden Programms und Vergleich mit einer im Pro- 
grammspeicher zuvor abgelegten Prtifsumme lafit sich eine Veranderung 
der ursprunglichen Speicherzelleninhalte oder auch eine erst im Betrieb auf- 
tretende Veranderung erkennen, was zu einer Fehlermeldung fiihrt. 

20 

Auf gabe der vorliegenden Erfindung ist es, eine Moglichkeit vorzuschlagen, 
wie der Rechner gegen auEere Manipulationen besser gesichert werden 
kann. 

25 Die Auf gabe wird erfindungsgemaJg durch ein Verf ahren, durch eine zentra- 
le Verarbeitungseinheit zur Durchfiihrung dieses Verf ahrens und durch ei- 
nen Rethner bzw. eine Chipkarte mit einer solchen zentralen Verarbei- 
tungseinheit gemafi den Merkmalen der nebengeordneten Anspriiche gelost. 
In den Unteranspriichen sind vorteilhafte Ausgestaltungen der Erfindung 

30 angegeben. 
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Die Erfindung geht davon aus, dafi durch eine Sicherung der im Rechner- 
kern, das heifit in der zentralen Verarbeitungseinheit (CPU) des Rechners, 
vorliegenden Daten gegen auBere Maniptdationeri die Sicherheit des Rech- 
ners erhoht werden kann, da im Rechnerkern die Daten unverschliisselt vor- 
5 liegen und daher leicht manipulierbar sind. 

Urn derartige Manipulation zu erkennen, wird nach der Verarbeitung eines 
Bef ehls durch die CPU aus mehreren Registerinhalten der CPU durch ma- 
thematische Verknupfung, beispielsweise durch Exklusiv-Oder- 

10 Verkntipfung (XOR-Verkniipfung), eine Checksumme ermittelt und als End- 
Checksumme in einem Speicher abgelegt. Vor der Verarbeitung des nachsten 
Bef ehls durch die CPU wird erneut eine Checksumme gebildet, das ist die 
Anf angs-Checksumme. Durch Vergleich der Anfangs-Checksumme mit der 
End-Checksumme, die ubereinstimmen mussen, lafit sich feststellen, ob Re- 

15 gisterinhalte der CPU nach der letzten Befehlsverarbeitung manipuliert 

wurden. Als Registerinhalte kommen die Inhalte jener Bereiche der CPU in 
Betracht, die einen von Null verschiedenen Zustand annehmen konnen, wie 
z.B. bei dem Prozessortyp 8051 der Accu, B-Accu, Datapointer (DPTR, DPL, 
DPH), Register (R0 bis R7) der Registerbanke, Programmstatuswort (PSW), 

20 Stackpointer (SP), Special Function-Register (SPR) und dergleichen. 

Zur weiteren Erhohung der Sicherheit kann zusatzlich beim Laden eines Be- 
fehls ein Zahler gestartet werden, welcher die Taktzyklen, die zur Abarbei- 
tung des Befehls notwendig sind, zahlt. Der Zahler ist dabei vorzugsweise 
25 hardwaremafiig auf gebaut. Eine Logik entnimmt dem Befehlsopcode die 
Anzahl der zur Abarbeitung notwendigen Taktzyklen und setzt diese in ei- 
nen Zahlerwert urn. Der Zahler lauft dann parallel zum ausgefuhrten Befehl. 
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Es wird iiberpruft, ob der abzuarbeitende Befehl innerhalb der angegebenen 
Taktzyklen abgearbeitet wird. Fur den Fall, dafi der Befehl nicht innerhalb 
des vorgegebenen Zeitraums abgearbeitet wurde, wird beispielsweise die 
Taktversorgung eingestellt, so dafi eine weitere Abarbeitung von Befehlen 
5 nicht mehr moglich ist. Alternativ kann auch ein Reset ausgelQst und sornit 
die Zentraleinheit zuruckgesetzt werden. Die gleichen MaJSnahmen konnen 
getroffen werden, wenn der Befehl vorzeitig abgearbeitet wurde, d.h. wenn 
dem Befehlszahler noch nicht in seinem Grenzwert angelangt ist und bereits 
ein neuer Operationscode erkannt wurde. 

10 

Die logische Verkniipfung der sicherheitsrelevanten Register kann durch 
Hardware oder Software realisiert werden. Die Ghecksummenbildung zwi- 
schen zwei aufeinanderfolgendef\ K Befehlen kann- beispielsweise aufgrund 
zufaltoger oder definierter Exeignisse oder^standig erfolgen. 

15 

Die Erfindung wird nachfolgend anhand der Zeichnungen naher erlautert. 
Es zeigen: 

Fig; 1 den Aufbau eines Mikrocontrollers am Beispiel eines 8051- 
20 Prozessors und 

Fig. 2 eine Logik zur Verkniipfung mehrerer Bereiche der zentralen Verar- 
beitungseinheit. 

25 Fig. l'zeigt den Aufbau eines 8051-Prozessors, das ist ein 8-Bit-Prozessor. 
Wahrend mit bekannten Verschliisselungsverfahren die Daten durch Bus- 
oder Speicherverschliisselung vor Manipulation geschiitzt werden, liegen 
die Daten im Kern des Rechners, d. h. in der zentralen Verarbeitungseinheit 
bzw. CPU, unverschliisselt vor. Mit dem erfindungsgemafien Verfahren 
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wird nun ermittelt, ob eines oder mehrere Register der CPU manipuliert 
- worden sind. 

In Fig. 2 sind beispielhaft solche sicherheitsrelevanten Bereiche der CPU an- 
5 gegeben, die manipuliert werden konnten, namlich Stackpointer SP, Akku 
AC, B-Akku B AC, Register RO bis R7, Data-Pointer DPL und DPH zu den 
unteren bzw. oberen Bereichen des internen RAM. Diese Register werden 
miteinander logisch verkniipft, urn eine Checksumme zu bilden. In Fig. 2 
sind jeweils zwei 8-Bit-Register durch ein Exklusiv-Oder-Gatter (XOR) mit- 

10 einander verkniipft. So ergibt sich aus der XOR-Verknupfung der Register 

RO und ein neues 8-Bit-Muster, das wiederum XOR-verknupf t wird mit dem 
8-Bit-Muster, das sich aus der XOR-Verknupfung der Register Rl und R7 
ergibt. Durch weitere XOR-Verknupfung der sich jeweils ergebenden 8-Bit- 
Muster ergibt sich schliefilich ein 8-Bit-Muster, das als Checksumme dient 

15 und in Fig. 2 mit „ Anfangs-Checksumme" bezeichnet ist. Anstelle der XOR- 
Verknupfung, welche insbesondere hinsichtlich des Aufwandes vorteilhaft 
ist, konnen selbstverstandlich auch andere Ausfiihrungsformen zur Bildung 
der Checksumme gewahlt werden. 

20 Wenn die Verknupfung der Register hardwaremafiig durch logische Ver- 
knupfungsglieder ausgefiihrt ist, andert sich die Checksumme unmittelbar, 
wenn sich der Inhalt eines Registers andert. D. h. , wahrend der Abarbeitung 
eines in der CPU verarbeiteten Befehls andert sich die Checksumme gegebe- 
nenfalls mehrfach. Entscheidend fiir die Durchfiihrung des Verfahrens sind 

25 aber nur die Checksumme nach Abarbeitung eines Befehls und vor Abarbei- 
tung des nachstfolgenden Befehls, da diese beiden Checksummen (End- 
Checksumme des einen Befehls und Anfangs-Checksumme des nachstfol- 
genden Befehls) in einem Komparator miteinander verglichen werden. 
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Der Vergleich wird wie folgt durchgefiihrt: Die sich am Ende der Abarbei- 
tung eines ersten Befehls einstellende Checksumme wird als End- 
. Checksumme in einem Speieher anf der CPU abgelegt. Um nun f estzustellen, 
ob nach der Abarbeitung dieses ersten Befehls und vor dem Laden des 
5 nachstfolgenden, zweiten Befehls in die CPU eine Manipulation der CPU 
erf olgt ist, wird parallel zum Laden dieses zweiten Befehls die Anfangs- 
Checksumme wie eingangs beschrieben gebildet. In einem ersten Schritt a.) 
wird die Anfangs-Checksumme mit der in dem Speieher abgelegten End- 
Checksumme aus dem zuvor abgearbeiteten ersten Bef ehl mittels eines 

10 Komparators verglichen. Fur den Fall, dafi keine Manipulation an der CPU 
vorgenommen worden ist, stimmen Anf angs- und End-Checksumme iiber- 
ein und der Wert des Vergleichsergebnisses ist Null. Der Komparator gibt 
ein Signal aus/auf grund dessen .in einem zweiten^Schritt b.)mach Abarbei- 
tung des zweiten Bef ehls«die~gerade anliegende Checksumme als neue End- 

15 Checksumme in den Speieher eingespeichert wird. D. h , die^Abarbeitung 

des zweiten Befehls wird in diesem Falle nicht unterbrochen. Ergibt sich hin- 
ge gen beirn Vergleich der Anfangs-Checksumme mit der End-Checksumme 
ein Wert ungleich Null, so ist auf eine Manipulation der CPU zu schliefien. 
Das'Ausgangssignal des Komparators veranlafit dann anstelle des zweiten 

20 Schritts b.) eine Fehlermeldung c), die in dem in Fig. 2 dargestellten Fall ei- 
nen Abbruch der Befehlsverarbeitung verursacht. Beispielsweise kann der 
Prozessor angehalten werden, ein Sicherheitssensor kann aktiv geschaltet 
werden oder im Falle einer Chipkarte kann die Chipkarte vom Terminal ein- 
_ behalten werden. 

25 

Der zuvor beschriebene Sicherheitsmechanismus kann auch rein software- 
rnaGig realisiert werden, indem die Checksummen einerseits am Ende einer 
Bef ehlsabarbeitung und andererseits zu Beginn der nachsten Befehlsabarbei- 
tung ermittelt und miteinander verglichen werden. Das entsprechende Pro- 
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gramm kann beispielsweise in dem ROM bzw. EPROM des Prozessors ge- 
speichert sein und die End-Checksumme kann in dem bitadressierbaren 
RAM des Prozessors abgelegt werden. 

5 Das beschriebene Verfakren braucht nicht vor jedem abzuarbeitenden Befehl 
durchgefiihrt zu werden. Eine Ausgestaltung der Erfindung sieht vor, dafi 
die Durchfiihrung des Verfahrens von einem zufalligen oder einem definier- 
ten Ereignis abhangt. Gemafi einer ersten Ausfiihrungsform kann das Ver- 
fahren zeitabhangig getriggert werden. 

10 

GemaG einer anderen Ausfiihrungsform kann das Verfahren dadurch 
getriggert werden, dafi der Inhalt eines oder mehrerer Register der CPU ei- 
nem vorbestimmten Muster entspricht. 

15 Eine noch weitere Ausfiihrungsform der Erfindung sieht vor, dafi das Ver- 
fahren jeweils nach Verarbeitung einer vorgegebenen Anzahl von Bef ehlen 
getriggert wird. 

Bevorzugt wird eine Ausfiihrungsform, wonach das Verfahren nur dann 
20 getriggert wird, wenn zwischen dem Befehl, nach dessen Abarbeitung die 
Checksumme als End-Checksumme in den Speicher gespeichert wurde, und 
der Anfangs-Checksumme zu Beginn der Abarbeitung des nachstfolgenden 
Befehls eine langere, definierte Zeitspanne liegt. Dadurch wird wertvolle 
Rechnerkapazitat bei der Ausfuhrung eines Programms mit vielen Befehlen 
25 gespart. Wenn man davon ausgeht, dafi eine Manipulation der CPU, insbe- 
sondere bei Chipkarten, nicht wahrend des laufenden Programms stattfin- 
det, sondem wenn die Chipkarte aus dem Chipkartenterminal entfemt ist, so 
ist eine Manipulation der CPU mittels dieser zuletzt beschriebenen Ausfiih- 
rungsform dennoch zuverlassig feststellbar. 



Patentansprtiche 

1. Verfahren zur Sicherung eines Rechners mit zentraler Verarbeitungsein- 
heit (CPU) gegen aufiere Manipulation, dadurch gekennzeichnet, dafi an- 

5 *hand von sich am Ende der Verarbeitung eines Befehls durch die CPU ein- 
stellenden Registerinhalten der CPU durch mathematische Verkniipfung 
eine End-Checksumme gebildet und gespeichert wird und anhand der sich 
vor Beginn der Verarbeitung des nachstfolgenden Befehls durch die CPU 
einstellenden Registerinhalte eine Anfangs-Checksumme gebildet wird, wo- 
10 bei eine Fehlermeldung erfolgt, wenn die Anfangs-Checksximme nicht mit 
der End-Checksumme ubereinstimmt. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi beim Laden 
des Befehls ein Zahler gestartet wird, welcher die Taktzyklen, die zur Abar- 

15 beitung des Befehls notwendig sind, zahlt und bei Uber- oder Unterschreiten 
der vorgegebenen Taktzyklen ein Fehlersignal ausgibt. 

3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dafi das Fehlersi- 
gnal einen Interrupt auslost oder zur Einstellung der Taktsignalversorgung 

20 fuhrt. 

4. Verfahren nach einem der Anspriiche 1 bis 3, dadurch gekennzeichnet, 
dafi die Anzahl der zur Abarbeitung eines Befehls notwendigen Taktzyklen 
aus dem OP-Code des Befehls durch eine Logikschaltung erhalten wird. 

25 

5. Verfahren nach einem der Anspriiche 1 bis 4, dadurch gekennzeichnet, dafi 
die mathematische Verkniipfung mittels Exklusiv-Oder- Verkniipfung der 
Registerinhalte erfolgt. 
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6. Verfahren nach einem der Ansprxiche 1 bis 5, dadurch gekennzeichnet, 
daJG die Initiierung des Verfahrens durch zufallige oder definierte Ereignisse 
getriggert wird. 

5 7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dafi das Verfahren 
zeitabhangig getriggert wird. 

8. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dafi das Verfahren 
getriggert wird, werin der Inhalt eines oder mehrerer Register der CPU ei- 

10 nem vorbestirnmten Muster entspricht. 

9. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dafi das Verfahren 
jeweils nach Verarbeitung einer vorgegebenen Anzahl von Befehlen getrig- 
gert wird. 

15 

10. Zentrale Verarbeitungseinheit (CPU) fiir einen Rechner zur Durchfuh- 
rung des Verfahrens nach einem der Anspriiche 1 bis 6, umfassend 

- eine Verkntipfung mehrerer Register der CPU durch logische Verkniip- 
fungsglieder zur Bildung einer Checksumme, 

20 - einen Checksurrunerispeicher zur Speicherung einer von den logischen 
Verkniipfungsgliedern gebildeten, ersten Checksumme, 

- einen Komparator zum Vergleichen einer von den logischen Verkniip- 
fungsgliedern gebildeten, zweiten Checksumme mit der im Speicher ge- 
speicherten, ersten Checksumme und 

25 - eine Steuereinrichtung zum Steuern der Einspeicherung der ersten 

Checksumme in den Checksummenspeicher und zum Steuern des Kom- 
parators. 
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11. Zentrale Verarbeitungseinheit nach Anspruch 10, gekennzeichnet durch 
- - : einen Zahler zum Zahlen der fur eine Befehlsabarbeitung benotigten Takt- 
zyklen. 

5 12. Zentrale Verarbeitungseinheit nach Anspruch 10 oder 11, gekennzeich- 
net durch eine Logikschaltung zum Bestimmen der fiir die Abarbeitung ei- 
nes Befehls notwendigen Taktzyklen aus dem OP-Code des Befehls. 

13. Rechner umfassend eine zentrale Verarbeitungseinheit nach einem der 
10 Anspruche 10 bis 12. 

14. Chipkarte umfassend eine zentrale Verarbeitungseinheit nach einem der 
Anspruche 10 bis 12. 




Zusammenfassung 



Es wird ein Verfahreri zur Sicherung der zentralen Verarbeitungseinheit ei- 
- - nes Rechners, insbesondere einer Chipkarte, vorgeschlagen. Einzelne sicher- 
5 heitsrelevante Register werden logisch miteinander verkniipft um eine 
Checksumme zu bilden, nachdem die CPU einen Befehl abgearbeitet hat. 
Diese Checksumme wird gespeichert und vor Beginn der Verarbeitung des 
nachstfolgenden Befehls mit einer entsprechend gebildeten Checksumme 
verglichen. Stimrnen die miteinander verglichenen Checksummen nicht 
10 iiberein, so deutet das auf eine Manipulation der Registerinhalte der CPU im 
Zeitraum zwischen der Abarbeitung der beiden Bef ehle hin. In einem sol- 
chen Fall ergeht eine entsprechende Fehlermeldung und der Prozessor wird 
angehalten, oder die Karte wird eingezogen. 
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